Веб-сайти фронтенду кількох онлайн-криптовалютних додатків були компрометовані 30 жовтня після того, як зловмисники впровадили зловредний код у оновлення популярної та широко використовуваної бібліотеки анімації.
Децентралізовані фінансові додатки, включаючи 1inch та TEN Finance, показували спливаючі вікна, які просили користувачів підключити свій гаманець, що насправді було для криптовалютного дрейнера «Ace Drainer», заявив криптовалютна платформа безпеки Blockaid в пості X від 30 жовтня.
Гал Наглі, керівник з безпеки в компанії з кібербезпеки Wiz, пояснив, що компрометація сталася в результаті “масштабної атаки ланцюга постачання” на бібліотеку Lottie Player - дуже популярний сервіс, який надає анімації для сайтів і додатків, з великою кількістю користувачів, таких як Apple, Spotify і Disney.
Джерело: Blockaid![Hackers, Scams, Hacks]()
Атака унікальна, оскільки вона впровадила злоякісний спливаючий вікно на здавалося б непорушений веб-сайт. Злочинці зазвичай вторгаються в високопідписані облікові записи в соціальних мережах, щоб обманом змусити фоловерів переходити за посиланнями на рибальські сайти.
Джавиш Хамід, віце-президент з інженерії у LottieFiles - фірмі, яка публікує бібліотеку анімацій, написав на GitHub, що пошкоджені версії бібліотеки були видалені і закликав користувачів встановити останню версію.
Він сказав, що атакувальники взламали рахунок GitHub старшого інженера з програмного забезпечення LottieFiles і за три години відправили три шкідливі оновлення, додавши, що вони «видалили доступ до компрометованого рахунку».
Пов’язано: Хакер за фальшивий Біткоїн ETF X пост заявляє себе невинним
Наглість Віза сказав, що користувачі бачили спливаюче вікно з підключенням до зловмисного криптовалютного гаманця “on популярних веб-сайтах по всій мережі.”
“Здається, початкова мета атаки була спрямована на великі веб-сайти криптовалют, які використовують цю бібліотеку”, - додав він.
Наглі попередив, що веб-сайти, що все ще використовують постраждалі версії бібліотеки, “імовірно все ще вразливі,” кажучи, що користувачі повинні перевірити, чи сайти використовують нешкідливі пакети — або версію 2.0.4, або останню 2.0.8.
Компанія LottieFiles не негайно відповіла на запит щодо коментаря.
Крипто-SEC: 2 аудитори пропускають $27M дефекту Penpie, ‘claim rewards’ помилка Pythia
- #Хакери
- #Хакі
- #DeFi
Додати реакцію
![]()
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
